Kişisel Verilerin Korunması Kanunu
6563 sayılı Kanun’dan sonra yürürlüğe girmiş olan 24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyulması gereken usul ve esaslar düzenlenmiştir. KVKK’da kişisel verilerin işlenmesi sırasında veri sorumlularının uyması gereken ilkeler ortaya konulmaktadır. KVVK, 6563 sayılı Kanun’un 10. maddesinden daha geniş bir sorumluluk alanı ortaya koymaktadır. KVKK çerçevesinde e-ticaret şirketlerinin kişisel verilerin işlenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi ve aktarılması açısından belli yükümlülükleri bulunmaktadır.
KVKK’ya Göre E-Ticaret Açısından Veri Sorumlusu Kimdir?
KVKK’nın 3. maddesinde veri sorumlusu “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” şeklinde tanımlanmıştır. Bu çerçevede elektronik ticaret faaliyetinde bulunan hizmet sağlayıcı e-ticaret şirketi, KVKK kapsamında veri sorumlusudur. KVKK’ya göre; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veri olarak kabul edilecek, e-ticaret şirketleri ise veri sorumlusu olarak değerlendirilecektir. Veri sorumlusu e-ticaret şirketi, e-ticaret sitesi aracılığıyla kullanıcılara ait kişisel verileri elde etmekte, kaydetmekte, depolamakta, muhafaza etmekte, değiştirebilmekte veya aktarabilmektedir.
E-ticaret şirketleri, kullanıcıların kimlik, adres, iletişim vb. bilgilerini alarak bu verileri belli analizlere tabi tutmakta ve kullanıcı/tüketici davranışlarına göre pazarlama ve reklam faaliyetleri için kullanmaktadır.
E-Ticaret Şirketlerinin KVKK Ve Diğer Mevzuat Kapsamında
Yükümlülükleri Nelerdir?
KVKK veri sahiplerinin haklarını korumak ve kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla veri sorumluları için birtakım yükümlülükler getirmiştir. Bu yükümlülüklere aykırı hareket edilmesi halinde ise ilgili veri sorumlularına uygulanacak yaptırımlar noktasında idareye geniş bir takdir yetkisi tanınmış olup, veri sorumlularına uygulanacak yaptırımların asgari ve azami hadleri belirtilmek suretiyle idari para cezaları öngörülmüştür.
E-ticaret sırasında kişisel verilerin kanuna uygun olarak işlenmesi, amacına uygun olarak kullanılması, korunması, veri sahibinin onayı olmadan kullanılmaması ve üçüncü kişilere aktarılmaması sağlanarak topluma ve tüketicilere kişisel verilerinin korunacağı ve yetkisiz erişimlere karşı güvende tutulacağı konusunda bir tür güvence oluşturulmaktadır.
E-ticaret şirketlerinin KVKK kapsamında yükümlülükleri aşağıdaki şekilde sıralanabilir:
Veri Güvenliğine İlişkin Yükümlülükler
KVKK’nın 12. maddesine göre veri sorumlusu veri güvenliğine ilişkin yükümlülükleri kapsamında;
– Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
– Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
– Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu çerçevede e-ticaret şirketi, e-ticaret platformunda elde edilen verilerin güvenliğinin sağlanması için her türlü idari ve teknik alt yapıyı oluşturmakla yükümlüdür. Aynı maddenin 5. fıkrasına göre her türlü idari ve teknik tedbirlerin alınmasına rağmen işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Aydınlatma Yükümlülüğü
Veri sorumlusunun asli yükümlülüklerden biri, KVKK’nın 10. maddesinde düzenlenen ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) kapsamında usul ve esasları düzenlenen aydınlatma yükümlülüğüdür. KVKK’dan kaynaklı aydınlatma yükümlülüğünün yerine getirilmiş olması için, kişisel verileri işlenen kişiler asgari olarak KVKK’nın 10. maddesinde sayılan unsurlar hakkında aydınlatılmalıdır.
Buna göre veri sorumlusu;
i) Veri sorumlusunun ve varsa temsilcisinin kimliği,
ii) Kişisel verilerin hangi amaçla işleneceği,
iii) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
iv) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
v) Kanun’un 11 inci maddede sayılan hakları,
konusunda bilgi vermekle yükümlüdür. KVKK, veri sorumlusu sıfatını haiz şirketlerin aydınlatma yükümlülüğünü herhangi bir şekil şartına bağlamamıştır. Tebliğ’in 5. maddesinde işbu aydınlatma yükümlülüğünün “sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamda kullanılmak suretiyle” yerine getirilebileceği öngörülmektedir.
Öte yandan Tebliğ’in m.5/1-e hükmü uyarınca, işbu aydınlatma yükümlülüğünün yerine getirildiğine dair ispat mükellefiyetinin veri sorumlusuna ait olduğu açıkça hükme bağlanmıştır. Dolayısıyla, yükümlü taraf, aydınlatmayı yazılı veya sözlü olarak gerçekleştirebilir, ancak yazılı yapılması ispat açısından kolaylık sağlayacaktır. Bu çerçevede, e-ticaret şirketlerinin KVKK’ya uyum sağlamak için 10. maddede sayılan asgari unsurları içeren bir “aydınlatma metnini” internet sitelerinde yayımlamaları gerekmektedir.
Tebliğ’in m. 5/1-ğ hükmü gereğince, “Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir”. Öte yandan aydınlatma metninin yayınlanması konusunda şirketlerin farklı uygulamaları da söz konusu olabilmektedir. Veri sahibi aydınlatma yükümlülüğünü, “Kişisel Verilerin Korunması Politikası” kapsamında, “Aydınlatma Metni” başlıklı ayrı bir metinde ya da “Gizlilik Politikası” ile birlikte yayınlayarak yerine getirebilecektir.
Aydınlatma yükümlülüğü açısından bir diğer önemli husus, kullanıcıdan çeşitli onaylama mekanizmaları aracılığıyla aydınlatıldığına dair beyanının alınmasıdır. Bu çerçevede örneğin kullanıcıya aydınlatıldığını gösterir ve “evet”, “okudum” gibi onay ifadesi içeren tıklama veya işaretleme şeklinde oluşturulmuş bir onay kutusu sunulması gerekmektedir.
Açık Rıza Alma Yükümlülüğü
Veri sahibinin açık rızasının alınması Kanun gereğince veri sorumlusunun asli yükümlülükleri arasındadır. Bununla birlikte KVKK’nın m. 5/2 hükmünde sınırlı olarak sayılan hallerde kişinin açık rızası aranmamaktadır. Bu çerçevede ayrı bir değerlendirme yapılması gerekmektedir. E-ticaret şirketlerinin e-ticaret sitesi üzerinden ürün/hizmet sağlanması sürecinde kullanıcı ile bir sözleşme akdedilip akdedilmediği değerlendirilmeli ve sözleşmenin varlığı durumunda, açık rıza aranmamalıdır. Zira bu durumda KVKK’nın 5. maddesinin 2. fıkrasında öngörülmüş olan açık rızanın istisnalarından biri gerçekleşmiş olmaktadır. Ancak böyle bir istisnanın yokluğunda, tüketicinin açık rızasının alınması gerekmektedir. Açık rızanın alınması için kullanıcının iradesini açık bir şekilde ortaya koymasını sağlayacak “evet”, “kabul ediyorum” gibi onay ifade eden tıklama veya işaretleme şeklinde bir yöntem olabileceği gibi farklı yöntemlerin kullanılması da mümkündür. Burada aydınlatma yükümlüğünün yerine getirilmesine ve açık rızanın alınmasına ilişkin onayların ayrı ayrı alındığına dikkat çekmek gerekmektedir. Bu durum, Tebliğ’ in 5/1-f maddesinde yer alan “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” Hükmünden kaynaklanmaktadır. Öte yandan ifade etmek gerekir ki sayılan istisnalar kapsamındaki veri işleme faaliyetleri dahi veri sorumlusunun yükümlülüklerinin ortadan kaldırmamaktadır. Veri sorumlusu e-ticaret şirketinin söz konusu istisnaların varlığında dahi aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir.
Gizlilik Ve Çerez Politikası Yükümlülükleri
E-ticaret şirketinin ilgili e-ticaret sitesinde, siteyi kullanan müşterinin hangi tür bilgilerinin alındığı, nasıl kullanılacağı ve korunacağı konusunda verilerin korunması ile doğrudan bağlantılı bir gizlilik politikası oluşturması da gerekmektedir. Tüketicilerden bilgiler aktif bir şekilde üyelik oluşturarak alınabileceği gibi çerezler (cookies) yoluyla pasif olarak da elde edilebilmektedir. Üyelik oluşturulması sırasında elde edilen veriler, Kanun’daki kişisel veri tanımı çerçevesinde doğrudan kişiyi tanımlayabilecek bilgilerdir. Ancak çerez yönteminde, tüketicinin siteyi nasıl kullandığı, IP adresleri ve lokasyon bilgileri, siteyi ziyaret zamanları gibi bilgiler elde edilmektedir ki bu bilgiler aracılığı ile de kişilerin belirlenebilmesi mümkündür. Çerezler yöntemi ile toplanan veriler açısından da ilgili veri sahiplerinin aydınlatılmaları ve rızalarının alınması gerekmektedir. Dolayısıyla e-ticaret şirketlerinin gizlilik politikalarında kullandıkları çerez yöntemlerini kullanıcılar ile paylaşmaları; veri sahibinden, “evet”, “kabul ediyorum” gibi onay verici bir ifade ve tıklama veya işaretleme gibi bir yöntemle onay almaları gerekmektedir. Aksi takdirde, e-ticaret şirketlerinin tüketicinin rızası ile işleyebilecekleri bilgileri rıza olmaksızın işlemeleri söz konusu olabilmektedir.
E-ticaret şirketlerinin gizlilik ve çerez politikalarını farklı yöntemlerle internet sitelerine yansıtmaları söz konusu olabilecektir. Bu çerçevede, çerez politikaları, aydınlatma metni içinde veya tüm politikalar ortak bir metinde yer alabilecektir.
Veri Sorumluları Siciline Kaydolma Yükümlülüğü
KVKK’nın veri sorumluları sicilini düzenleyen 16. maddesi gereğince, veri sorumluları sicili Kişisel Verileri Koruma Kurulu’nun denetiminde aleni olarak tutulan ve sicile kayıt yükümlülüğü olan veri sorumlularının veri işlemeye başlamadan önce kendilerini kayıt ettirecekleri bir sicil olarak tanımlanmıştır. Veri sorumlusu olan e-ticaret şirketleri, Kanunun 16. maddesi gereğince Kurul tarafından belirlenen istisnalar kapsamında olmamak kaydıyla Veri Sorumluları Sicili (VERBİS)’ne kaydolmakla yükümlüdür. Veri sorumlusu e-ticaret şirketi, aşağıdaki hususları içeren bir bildirimle Veri Sorumluları Siciline başvurabilecektir:
- Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
- Kişisel verilerin hangi amaçla işleneceği.
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
- Yabancı ülkelere aktarımı öngörülen kişisel veriler.
- Kişisel veri güvenliğine ilişkin alınan tedbirler.
- Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
